nicht angemeldet
Gunnar Bittersmann@@Tabellenkalk
Du darfst niemals Daten, die Schadcode einschleusen könnten, unbehandelt mit PHP in HTML-Quelltext schreiben.
Warum so einschränkend? Und wie willst du die Daten unterscheiden? Hast du ein Kriterium, wann Daten Schadcode einschleusen können und wann nicht?
Ja.
$antwort = 42;
<p>Die Antwort ist <?= $antwort ?>.</p>
Hier ist kein htmlspecialchars() erforderlich.
Daten, die im Script selbst berechnet werden (und keine Strings sind), können keinen Schadcode einschleusen.
LLAP 🖖
--
„Wir haben deinen numidischen Schreiber aufgegriffen, o Syndicus.“
„Hat auf dem Forum herumgelungert …“
(Wachen in Asterix 36: Der Papyrus des Cäsar)
„Wir haben deinen numidischen Schreiber aufgegriffen, o Syndicus.“
„Hat auf dem Forum herumgelungert …“
(Wachen in Asterix 36: Der Papyrus des Cäsar)
Julius
Matthias Apsel
Der Martin
Tabellenkalk
Auge